10 2016 档案
摘要:在业务里用到了PHP header导出doc文档,GET传值到页面,读出相应数据输出doc文件下载。用户提出需要批量,于是设计成js循环出对应数量的window.open(),向页面传入不同的值,批量输出相应的文件。简单的说,就是我需要循环出多个window.open()。 js代码为: (PHP页
阅读全文
摘要:现象 最近在做项目的时候碰到了使用window.open被浏览器拦截的情况,搞得人无比郁闷啊,虽然在自己的环境可以对页面进行放行,但是对用户来说,不能要求用户都来通过拦截。何况当出现拦截时,很多小白根本不知道发生了啥,不知道在哪里看被拦截的页面,简直悲催啊~~。 另外,可以发现,当window.op
阅读全文
摘要:PK找的: http://support.microsoft.com/kb/316431/ 症状 ... 如果服务器使用着安全套接字层 (SSL) 并且已将下面的两个 HTTP 标头或其中的一个添加到了响应消息中,就会发生上述问题: Pragma: no-cache Cache-control: n
阅读全文
摘要:jboss jboss linux jboss 部署时优化设置: 在/conf/web.xml中通过参数指定: <session-config> <session-timeout>1440</session-timeout> </session-config> 单位为分钟。 Jboss部署目录优化:
阅读全文
摘要:JBoss又发现漏洞了,安全圈儿为之一紧。 知道创宇安全研究团队再次本着科普的情怀收集跟JBoss安全相关的材料,为安全行业再出一把力。 这里先给JBoss正下名。通常所说的JBoss,全称是JBoss Application Server。 它是JavaEE体系里, 一个很流行的应用服务器开源实现
阅读全文
摘要:1.目标站点 http://125.69.112.239/login.jsp 2.简单测试 发现是jboss,HEAD请求头绕过失败,猜测弱口令失败,发现没有删除 http://125.69.112.239/invoker/JMXInvokerServlet 这个是jboss的另一个漏洞了. 3.大
阅读全文
摘要:链接: http://pan.baidu.com/s/1F8bMI 密码: 1h2r 工具使用说明 1. 查看系统名称 java -jar jboss_exploit_fat.jar -i http://192.168.0.88:10081/invoker/JMXInvokerServlet get
阅读全文
摘要:早上起床打开微博看到空虚浪子心大神发的一篇有关Jboss漏洞的文章,对我等菜鸟来说那边文章看起来还是很吃力的,所以查了查国内外的资料,翻译写了这边文章,记录一下。 在JBoss服务器上部署web应用程序,有很多不同的方式,诸如:JMX Console、Remote Method Invocation
阅读全文
摘要:JBoss是一个大型应用平台,普通用户很难接触到。越是难以接触到的东西越觉得高深,借用北京公交司机李素丽的一句话“用力只能干出称职,用心才能干出优秀”,在安全上也是如此,虽然JBoss平台很难掌握,但是只要找到Jboss的罩门,一样轻松渗透,本文就如何针对Jboss的一个漏洞来获取其Webshell
阅读全文
摘要:<!-- 广告位开始 -->中毒现象 <!-- 广告位开始 -->中毒现象 <!-- 广告位开始 -->中毒现象 <!-- 广告位开始 -->中毒现象 1. 网络出现拥塞,访问延迟增加。 2. 系统定时任务表中出现异常的定时任务。 3. 出现异常进程。 4. $JBOSS_HOME/bin或/roo
阅读全文
摘要:虽然SQL Server现在搬迁的技术越来越多,自带的方法也越来越高级。 但是我们的SQL Server在搬迁的会出现很多孤立用户,微软没有自动的处理。 因为我们的数据库权限表都不会在应用数据库中,但是每次对数据库作迁移的时候,单个数据库却带着它的数据库用户对象。 并且我们在新的数据库机器上也不能登
阅读全文
摘要:我在sqlserver2005中建立一个用户的时候,我的用户名和密码是一样的,它不允许我建立报“密码有效性验证失败。该密码不够复杂,不符合 Windows 策略要求”错误,我把密码改成其他一些就可以, 明显你的密码和用户名不能重复啊!如果你非要这样,可以在运行里打"gpedit.msc",然后在计算
阅读全文
摘要:在一台新的服务器上还原mssql2008r2数据库后,原来数据库中的账户无法用来打开这台新还原的数据库,报错:登录失败 错误代码:4064。分析原因:在备份数据库的时候,服务器引擎中的安全->登录 中的用户在还原的时候并没有跟过来,导致登录设置降级,图1解决的方法: 步骤1 将原来数据库中的那个用户
阅读全文
摘要:jboss 默认有几个控制台,都是可能存在漏洞被黑客利用,除了web console 、jmx console。 还有JMXInvokerServlet,访问路径是ip/invoker/JMXInvokerServlet 。 一开始以为删除对应的deploy文件夹(/deploy/http-invo
阅读全文
摘要:原文:http://linder.iteye.com/blog/735435 简介 WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST
阅读全文
摘要:[摘要:正在Windows Server 2008下间接装置SQL Server 2008时,会涌现以下毛病: 必需应用“脚色治理对象”装置或设置装备摆设Microsoft .NET Framework 3.5 SP1 办理方式以下: 翻开“办事器治理器” ,正在“功效”选项] 在Windows S
阅读全文
摘要:1、jmx-console登录的用户名和密码设置 默认情况访问http://localhost:8080/jmx-console就可以浏览jboss的部署管理的一些信息,不需要输入用户名和密码,使用起来有点安全隐患。下面我们针对此问题对jboss进行配置,使得访问jmx-console也必须要知道用
阅读全文
摘要:参考资料: http://blog.csdn.net/apei830/article/details/5448897 axis2的官网 http://axis.apache.org/axis2/java/core/docs/pojoguide.html 1、先来构建web端,搭建服务平台 a、从这
阅读全文
摘要:1:准备: JDK:http://www.oracle.com/technetwork/java/javase/downloads/jdk6downloads-1902814.html eclipse:http://www.eclipse.org/downloads/download.php?fil
阅读全文
摘要:在应用的web.xml中配置如下信息: 在项目中配置在当前项目中有效,如果想让jboss下所有项目都生效,则在jboss下conf\web.xml中配置。
阅读全文
摘要:一、新建SOAP项目 【File】-【New SOAP Project】,在【Project Name】输入{工程名},点击【OK】。 二、新建TestSuite 选中项目,右键选择【New Test Suite】,对话框输入{TestSuite名}。 三、新建TestCase 选中TestSuit
阅读全文
摘要:String url = "http://www.baidu.com"; //将要访问的url字符串放入HttpPost中 HttpPost httpPost= new HttpPost(url); //请求头 放置一些修改http请求头和cookie httpPost.setHeader("Accept", "application/json"); ...... //如果是Http...
阅读全文
摘要:工作当中有不少时间在编写和维护接口自动化测试用例。打算先整理一些接口相关工具的使用。 简单对接Web口测试的相关工具/技术做个划分。 HTTP/SOAP协议接口的功能测试: 1、浏览器URL(GET请求) http://127.0.0.1:8000/login/?username=zhangsan&
阅读全文
摘要:前言:还记得刚使用WebApi那会儿,被它的传参机制折腾了好久,查阅了半天资料。如今,使用WebApi也有段时间了,今天就记录下API接口传参的一些方式方法,算是一个笔记,也希望能帮初学者少走弯路。本篇针对初初使用WebApi的同学们,比较基础,有兴趣的且看看。 本篇打算通过get、post、put
阅读全文
摘要:HTTP服务器至少应该实现GET和HEAD方法,其他方法都是可选的。当然,所有的方法支持的实现都应当符合下述的方法各自的语义定义。此外,除了上述方法,特定的HTTP服务器还能够扩展自定义的方法。 http的访问中,一般常用的两个方法是:GET和POST。其实主要是针对DELETE等方法的禁用。有两种
阅读全文
摘要:JBoss版本:JBoss 4.2.2.GA jboss默认配置了以下服务:JMX ConsoleJBoss Web Console为了安全起见,需要用户通过授权进行访问。 一。Java 鉴别与授权服务(JAAS)JAAS(Java Authentication and Authorization
阅读全文
摘要:Resolution Option 1 -Using RewriteValve (can apply globally) You can use RewriteValve to disable the http methods. Take a look atdocumentation http://
阅读全文
摘要:原文:http://linder.iteye.com/blog/735435 简介 WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST
阅读全文
摘要:关闭不安全的HTTP方法 关闭不安全的HTTP方法 在项目或tomcat下的web.xml中,添加如下配置: <!-- 关闭不安全的HTTP方法 --> <security-constraint> <web-resource-collection> <web-resource-name>任意名称</
阅读全文
摘要:一. Jboss后台启动:添加后台修改命令:vi run.shwhile true; do if [ "x$LAUNCH_JBOSS_IN_BACKGROUND" = "x" ]; then # Execute the JVM in the foreground nohup "$JAVA" $JAV
阅读全文
摘要:近期,在乌云上关注了几则利用Axis2默认口令进行渗透测试的案例,大家的渗透思路基本一致,利用的技术工具也大致相同,我在总结这几则案例的基础之上进行了技术思路的拓展。 乌云Axis2默认口令安全弱点利用案例: 航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全\目测已被其他人
阅读全文
